Помогите удалить рекламу в браузере

[vase21]

Доброго дня, нужна помощь в удалении троянов с рабочего компа. Обнаружил файл pirritupdate при проверке. Как быть. что делать? выскакивает реклама во всех браузерах

[kmscom]

Порядок оформления запроса о помощи

[vase21]

Спасибо

 

После лечения Kaspersky Virus Removal Tool 2011, который удалил три файлика, к сожалению не сохранил названия и и пути к ним (один из них был c названием что-то типа reg.., все они были в папке user/appdata) - реклама пропала. В настройках браузера наконец удалось насовсем убрать галочку использование прокси сервера.

 

Огромная просьба все таки проверить мои логи. Может быть проблема еще частично осталась

virusinfo_autoquarantine.zip

virusinfo_syscheck.htm

virusinfo_syscheck.xml

virusinfo_syscheck.zip

virusinfo_syscure.htm

virusinfo_syscure.xml

virusinfo_syscure.zip

info.txt

log.txt

[mike 1]

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\program files\winrst\winrst.exe');
 TerminateProcessByName('c:\users\user\appdata\local\c7ab745211583b225ef046218cf60b31\b9bb4d6680d9337.exe');
 SetServiceStart('WinRST', 4);
 SetServiceStart('b9bb4d6680d9337.exe', 4);
 StopService('WinRST');
 StopService('b9bb4d6680d9337.exe');
 QuarantineFile('C:\Users\user\AppData\Local\c7ab745211583b225ef046218cf60b31\RegFltrX86.sys','');
 QuarantineFile('C:\Users\user\AppData\Local\77f55af3e02ba2d7c273617e9fedb4b7\694516007e3cdf1.exe','');
 QuarantineFile('C:\Users\user\AppData\Local\305c234696b6865f601632318cdd3f64\c035e969523a1de.exe','');
 QuarantineFile('c:\program files\winrst\winrst.exe','');
 QuarantineFile('c:\users\user\appdata\local\c7ab745211583b225ef046218cf60b31\b9bb4d6680d9337.exe','');
 DeleteFile('C:\Users\user\AppData\Local\c7ab745211583b225ef046218cf60b31\b9bb4d6680d9337.exe','32');
 DeleteFile('C:\Program Files\WinRST\WinRST.exe','32');
 DeleteFile('C:\Users\user\AppData\Local\305c234696b6865f601632318cdd3f64\c035e969523a1de.exe','32');
 DeleteFile('C:\Users\user\AppData\Local\77f55af3e02ba2d7c273617e9fedb4b7\694516007e3cdf1.exe','32');
 DeleteFile('C:\Users\user\AppData\Local\c7ab745211583b225ef046218cf60b31\RegFltrX86.sys','32');
 DeleteService('RegFltrX86');
 DeleteService('c035e969523a1de.exe');
 DeleteService('694516007e3cdf1.exe');
 DeleteService('WinRST');
 DeleteService('b9bb4d6680d9337.exe');
 DeleteFileMask('c:\program files\winrst', '*', true, ' ');
 DeleteFileMask('c:\users\user\appdata\local\c7ab745211583b225ef046218cf60b31', '*', true, ' ');
 DeleteFileMask('C:\Users\user\AppData\Local\77f55af3e02ba2d7c273617e9fedb4b7', '*', true, ' ');
 DeleteFileMask('C:\Users\user\AppData\Local\305c234696b6865f601632318cdd3f64', '*', true, ' ');
 DeleteFileMask('C:\Program Files\Pirrit', '*', true, ' ');
 DeleteDirectory('C:\Program Files\Pirrit');     
 DeleteDirectory('c:\program files\winrst');     
 DeleteDirectory('c:\users\user\appdata\local\c7ab745211583b225ef046218cf60b31');     
 DeleteDirectory('C:\Users\user\AppData\Local\77f55af3e02ba2d7c273617e9fedb4b7');     
 DeleteDirectory('C:\Users\user\AppData\Local\305c234696b6865f601632318cdd3f64');     
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:31015

 

Сделайте новые логи

 

Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве

 

 

[vase21]

Re: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [KLAN-1717486784]

От кого: newvirus@kaspersky.com  Кому: vase21@mail.ru

20 июня, 16:31

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

b9bb4d6680d9337.exe

Вредоносный код в файле не обнаружен.

winrst.exe

Новые логи

Сообщение от модератора Mark D. Pearlstone

Файл virusinfo_autoquarantine.zip удалён.

info.txt

log.txt

virusinfo_syscheck.htm

virusinfo_syscheck.xml

virusinfo_syscheck.zip

virusinfo_syscure.htm

virusinfo_syscure.xml

virusinfo_syscure.zip

[Roman_Five]

 

 

Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве

не сделали.

[vase21]

в процессе минутку

[vase21]

Последний лог

MBAM-log-2014-06-23 (10-51-11).txt

[mike 1]

RegClean деинсталлируйте.

 

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

 

Обнаруженные ключи в реестре:  6


HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\PTM-14.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RegClean Pro_is1 (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
HKCU\Software\Conduit\FF (PUP.Optional.Conduit.A) -> Действие не было предпринято.
HKCU\Software\Conduit\ValueApps (PUP.Optional.ValueApps.A) -> Действие не было предпринято.
HKCU\Software\Systweak\RegClean Pro (PUP.Optional.RegCleanerPro.A) -> Действие не было предпринято.
 


Обнаруженные папки:  4
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Program Files\RegClean Pro (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Users\user\AppData\Roaming\systweak\regclean pro (PUP.Optional.RegCleanerPro.A) -> Действие не было предпринято.
C:\Users\user\AppData\Roaming\systweak\regclean pro\Version 6.1 (PUP.Optional.RegCleanerPro.A) -> Действие не было предпринято.
 
Обнаруженные файлы:


C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro\Register RegClean Pro.lnk (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro\RegClean Pro.lnk (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro\Деинсталлировать RegClean Pro.lnk (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Windows\Tasks\RegClean Pro_UPDATES.job (PUP.Optional.RegCleanerPro.J) -> Действие не было предпринято.
C:\Windows\System32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.
C:\Program Files\RegClean Pro\TraditionalCn_rcp_zh-tw.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Program Files\RegClean Pro\isxdl.dll (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Program Files\RegClean Pro\Chinese_rcp.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Program Files\RegClean Pro\CleanSchedule.exe (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Program Files\RegClean Pro\Danish_rcp.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Program Files\RegClean Pro\Dutch_rcp.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Program Files\RegClean Pro\eng_rcp.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Program Files\RegClean Pro\Finnish_rcp_fi.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Program Files\RegClean Pro\French_rcp.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Program Files\RegClean Pro\German_rcp.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Program Files\RegClean Pro\greek_rcp_el.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Program Files\RegClean Pro\Italian_rcp.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Program Files\RegClean Pro\Japanese_rcp.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Program Files\RegClean Pro\korean_rcp_ko.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Program Files\RegClean Pro\Norwegian_rcp.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Program Files\RegClean Pro\polish_rcp_pl.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Program Files\RegClean Pro\portugese_rcp_pt.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Program Files\RegClean Pro\Portuguese_rcp.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Program Files\RegClean Pro\RCPUninstall.exe (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Program Files\RegClean Pro\RegCleanPro.dll (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Program Files\RegClean Pro\RegCleanPro.exe (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Program Files\RegClean Pro\russian_rcp_ru.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Program Files\RegClean Pro\Spanish_rcp.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Program Files\RegClean Pro\Swedish_rcp.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Program Files\RegClean Pro\turkish_rcp_tr.ini (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Program Files\RegClean Pro\unins000.exe (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Program Files\RegClean Pro\xmllite.dll (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Windows\Tasks\RegClean Pro_DEFAULT.job (PUP.Optional.RegCleanPro.A) -> Действие не было предпринято.
C:\Windows\System32\roboot.exe (PUP.Optional.PCPerformer.A) -> Действие не было предпринято.
C:\Users\user\AppData\Roaming\systweak\regclean pro\Version 6.1\ExcludeList.rcp (PUP.Optional.RegCleanerPro.A) -> Действие не было предпринято.
C:\Users\user\AppData\Roaming\systweak\regclean pro\Version 6.1\log_06-18-2014.log (PUP.Optional.RegCleanerPro.A) -> Действие не было предпринято.
C:\Users\user\AppData\Roaming\systweak\regclean pro\Version 6.1\log_06-19-2014.log (PUP.Optional.RegCleanerPro.A) -> Действие не было предпринято.
C:\Users\user\AppData\Roaming\systweak\regclean pro\Version 6.1\log_06-20-2014.log (PUP.Optional.RegCleanerPro.A) -> Действие не было предпринято.
C:\Users\user\AppData\Roaming\systweak\regclean pro\Version 6.1\rcpupdate.ini (PUP.Optional.RegCleanerPro.A) -> Действие не было предпринято.
C:\Users\user\AppData\Roaming\systweak\regclean pro\Version 6.1\results.rcp (PUP.Optional.RegCleanerPro.A) -> Действие не было предпринято.
C:\Users\user\AppData\Roaming\systweak\regclean pro\Version 6.1\russian_rcp_ru.dat (PUP.Optional.RegCleanerPro.A) -> Действие не было предпринято.
C:\Users\user\AppData\Roaming\systweak\regclean pro\Version 6.1\TempHLList.rcp (PUP.Optional.RegCleanerPro.A) -> Действие не было предпринято.

 

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог. Можно быстрое сканирование сделать.

 

 

+

• Подготовьте лог OTL by OldTimer, как описано на этой странице.
• Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
• Если логи не прикрепляются запакуйте их в архив.

 

 

[vase21]

Сделал

OTL.Txt

Extras.Txt

MBAM-log-2014-06-23 (14-32-55).txt

[mike 1]

• Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

 

Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 

• В окно Custom Scans/Fixes скопируйте следующую информацию:

 

:Commands
[CREATERESTOREPOINT]
 
:processes
 
:OTL
FF - user.js - File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
[2014.06.09 08:08:37 | 000,000,000 | ---D | C] -- C:\Users\user\AppData\Local\06ae952b81faab50d3a0d6cd444a02e8
[2014.06.23 14:14:20 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\systweak
 
:Services
 
:Files
 
recycler /alldrives
ipconfig /flushdns /c
 
:Reg
 
:Commands
[EMPTYTEMP]
[purity]
[Reboot]

• Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"

• Компьютер перезагрузится.

• После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и прикрепите его в следующее сообщение.

 

 

[vase21]

Лог

06242014_080329.log

[mike 1]

Что с проблемой?

[vase21]

Пока не замечено ничего больше. Спасибо

[mike 1]

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt